2015年のAdobe Flash Playerの脆弱性/パッチの急増の背後にあったものは何ですか?
2015年がAdobeのFlash Playerにとってセキュリティ面でおおまかな年であったことは明らかです。 Adobe自体が本質的に始まり始めていることを除けば Flash開発を非推奨 主に、Flash Playerの長年のステータスが攻撃者の主な標的であるため、脆弱性レポートとセキュリティ更新統計が物語を語ります。 Adobeのサイトの 関連ページ は、Flash Playerのパッチをリリースした22日間をリストしています。これには、ゼロデイを修正するためのかなりの数のアウトオブバンドリリースが含まれています。 (-- ハッキングチームゼロデイ と同様。そして ポーンストームゼロデイ 。そして クリスマスゼロデイ 。)全国脆弱性データベース リスト3302015年に報告されたFlash Playerの脆弱性に対して発行された個別のCVE ID。楽しい数字ではありません。
しかし、私にとって不可解なのは、2015年に Flash Playerに非常に多くの脆弱性が見つかった であり、それ以上に多くのより多くの脆弱性が発見されました前年より2015年。 NVDによると、 2013年 56のCVEがFlash Playerの脆弱性に対して発行されました。 2014年 、数は74に多少増加しました。しかし、74から330への移行は驚くべきジャンプです。
では、昨年の劇的な急増の背後には何があったのでしょうか。私の頭に浮かんだ唯一の仮想的な要因は、(a)チャンス、(b)アドビが個別の脆弱性を定義する方法にいくつかの大きな変更、および(c)セキュリティリサーチャーの焦点がFlash Playerの脆弱性をターゲットとしての狩猟にシフトしたことですJavaクライアントとWindowsは(間違いなく)強化されています。しかし、それらは、私でさえも非常に説得力のあるものではないと思われる、ワイルドで疑似教育された推測です。昨年爆発したFlash Playerの脆弱性/ゼロデイ/パッチの数は?
ここで得られる答えはほとんど推測に過ぎないと思います。しかし、それでも問題は興味深いものです。主な理由は次のとおりです。
- その他JavaまたはActiveXの悪用は通常困難でした関連機能がオフになっているか、インタラクションのレイヤーが追加されたため(つまり、クリックして再生、警告)署名されていないコードなど)したがって、他の攻撃ベクトルを見つける必要があります。フラッシュはどこにでもあり、バグがあることがわかっているため、優れた攻撃ベクトルになります。
- Adobe 既知のエクスプロイトをより速く修正およびFirefoxまたはChromeのようなブラウザーは、既知の脆弱なバージョンをもう使用しないことを確認しました。エクスプロイトは公衆で使用される可能性があります(たまに数日だけです)エクスプロイトがさらに必要でしたそして、常に十分な新しいエクスプロイトが利用可能だったようですたくさんのお金を稼ぐことができます今日、新しいエクスプロイトを開発して販売しています。
- ボットネットの作成、スパムの送信、広告の挿入は、多くのお金を稼ぐことができるビジネスです。反対側ではオペレーティングシステムとウイルス対策からの基本的な保護が改善されました。これは、より多くの高い未知のエクスプロイトを使用して高い感染率を維持する必要があるを意味します。これは、使用されるゼロデイまたはハーフデイエクスプロイトです。この方法で獲得したお金は、新しいエクスプロイトの開発または購入に使用されます。エクスプロイトキットを販売またはレンタルして最新の状態に保つ実際の業界が実際に存在し、他のユーザーはこれらのキットを使用して独自のマルウェアを転送し、さらに確立されたボットネットのサービスを使用してスパムを送信したり、DDOS攻撃を行ったりします。
その理由の1つは、私が思う脆弱性を探している人が多いことです。
2015年を通じて、脆弱性開示プログラムとセキュリティコミュニティはCVEの特定に非常に役立ちました。 今年のレポートの約3分の1は、Project Zeroのみによるものです。報告されたバグの多くは、プラットフォームを手動で調査する必要があるため、これらの多くは重要なものでした。セキュリティコミュニティとMicrosoftやGoogleのようなパートナーの助けを借りて、アドビは重要な新しいエクスプロイト緩和策をFlash Playerに導入することができました。